ohne zu erkennen, dass der Betrieb eigener Server längst nicht mehr rentabel und schon gar nicht mehr sicher ist, der neigt dazu, an dem alten Server festzuhalten, auch wenn zwischenzeitlich weitaus günstigere und noch dazu sicherere Cloud-Lösungen existieren. Wenn solche versunkenen Kosten erst einmal entstanden sind, decken sich die Interessen des Unternehmens zur Behebung des Problems oft nicht mehr mit dem mentalen Konto des Entscheidungsträgers. Hier kann meist nur ein Wechsel des Verantwortlichen helfen, die festgefahrene mentale Ausrichtung zu durchbrechen. Vive la révolution!
Unsachgemäße Datenträgerbehandlung und -entsorgung
Die unsachgemäße Datenträgerbehandlung und -entsorgung führt ebenfalls immer wieder zu unnötigen Angriffsflächen.
Unsachgemäße Behandlung
Die unbedachte Verwendung fremder USB-Sticks oder Memory-Cards macht es Angreifern ebenfalls leicht, Ihr System zu infiltrieren. Eine beliebte Übung bei Testangriffen auf die Unternehmens-IT besteht darin, auf Parkplätzen, WCs, auf Fluren oder an beliebigen anderen Orten ulkig beschriebene USB-Sticks zu verlieren, die mit Schadsoftware verseucht sind, und dann auf die Reaktion der glücklichen Finder zu warten. Gut funktionieren Aufschriften wie Gehalt des Vorstands, Q oder sonstiger Quatsch. Der Pen-Tester muss dann nichts anderes tun, als seinen Rechner aufzuklappen und abzuwarten, bis sich das erste Schadprogramm auf seinem System meldet.
Unsachgemäße Entsorgung
Inzwischen gibt es eine Vielzahl zertifizierter Entsorgungsunternehmen, zum Beispiel nach DIN 66399. Viele Unternehmer bevorzugen jedoch nach wie vor die günstige Entsorgung papierhaften Mülls im Container hinter dem Haus, werfen Festplatten in den Restmüll, vergessen mit Firmendaten vollgestopfte USB-Sticks wieder von ihren Mitarbeitern einzusammeln oder bewahren diese an den unmöglichsten Stellen auf. Wer weiß, dass gelöschte Daten auf fast allen Datenträgern von Spezialisten wiederhergestellt werden können, hat schon viel gewonnen. Oft ist das aber gar nicht nötig, weil Datenträger zwar gerne mit Daten gefüttert werden, eine Löschung der Daten aber erst erfolgt, wenn die Speicherkapazität ausgeschöpft ist. Wer solche Datenträger findet oder entwendet, muss sich nicht mehr in Ihr IT-System einhacken, um auf Ihre Daten zugreifen zu können.
Es wurde einmal von einer Bank berichtet, die von Geldautomaten eingezogene EC-Karten in einem kleinen Schuhkarton im Zimmer der Internen Revision verwahrte. Als der Schuhkarton eines Tags versehentlich auf den Boden gefallen war, leerte die eifrige Mitarbeiterin des Putzdiensts auch den kleinen Schuhkarton aus und warf die abgelaufenen Kärtchen in den sogenannten gelben Sack, ein in Deutschland beliebtes Kunststoffbehältnis zur Entsorgung jeglichen Mülls, der nicht mehr in die Tonne für den Restmüll passt, zur Abholung durch die Müllabfuhr. Da der gelbe Sack auch schon am Folgetag abgeholt werden sollte, brachte die Putzfee ihn auch gleich noch zur nächstgelegenen Abholstelle, die sich etwa zweihundert Meter vom Bankgebäude entfernt befand. Am nächsten Morgen entdeckte der zum Frühaufstehen neigende Revisor der Bank eine Spur aus EC-Karten im Schnee, die vom Hinterausgang der Bank bis zum besagten gelben Sack führte. Die abgelaufenen Karten werden in der Bank heute nicht mehr in Schuhkartons gelagert.
Datenschutz
Nachdem Sie nun einiges zur Datensicherheit erfahren haben, verraten wir Ihnen jetzt endlich, was es mit dem Datenschutz auf sich hat. Während die Datensicherheit in erster Linie den eigenen Sicherheitsinteressen des Datenverarbeiters dient, geht es beim Datenschutz um die Rechte anderer. Das sind die Rechte der Personen, deren personenbezogene Daten verarbeitet werden. Der Schutz dieser Daten ist nicht immer unbedingt auch zugleich im Interesse des Verarbeiters.
Schutzgut
Der Datenschutz will das Recht jedes einzelnen schützen, Herr über seine ihn betreffenden Informationen zu sein. Im deutschen Recht bezeichnet man dies als das Recht auf informationelle Selbstbestimmung (Bundesverfassungsgericht, Urteil vom 15. Dezember 1983). Es soll sicherstellen, dass alle Menschen möglichst selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten bestimmen können. In der Gesetzgebung der Europäischen Union (EU) gibt es dieses Recht so nicht. Hier gilt Art. 8 der Europäischen Menschenrechtskonvention (EMRK), wonach den Bürgern der EU ein Recht auf Privatheit zusteht. Durch die DSGVO wird dieses Recht präzisiert und im Einzelnen geregelt. Gegenstand des Schutzes sind personenbezogene Daten (Art. 4 Nr. 1) im Gegensatz zu Unternehmens-, Behörden- oder technischen Daten. Erwägungsgrund 1 stellt in diesem Zusammenhang klar, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist, und nimmt zusätzlich Bezug auf Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), wonach jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Doppelt und dreifach hält besser.
Schutzziele des Datenschutzes
Zu wissen, dass der Datenschutz personenbezogene Daten schützt, beantwortet aber noch nicht die Frage, weshalb der Datenschutz schützt, was er schützt. Wozu ist es gut, gerade personenbezogene Daten besonders zu schützen? Die DSGVO sagt in Art. 1 Abs. 2, dass durch die DSGVO der Schutz der Grundrechte und der Grundfreiheiten natürlicher Personen sichergestellt werden soll. Aber welche Grundrechte und Grundfreiheiten könnten denn gefährdet sein bei Datenschutzverletzungen? Die Datenschutzverletzung selbst ist für sich allein genommen noch keine Gefahr für unsere Grundrechte und Grundfreiheiten.
Datenschutzverletzungen können nach Art. 4 Nr. 12 bestehen in
unbeabsichtigter oder unrechtmäßiger Vernichtung personenbezogener Daten,
unbeabsichtigtem oder unrechtmäßigem Verlust personenbezogener Daten,
unbeabsichtigter oder unrechtmäßiger Veränderung von personenbezogenen Daten,
unbefugter Offenlegung personenbezogener Daten oder
unbefugtem Zugang zu Daten.
Aus Datenschutzverletzungen können sich aber sehr wohl konkrete Gefahren für die Grundrechte und Grundfreiheiten von Personen ergeben. Solche Gefahren können sein:
Diskriminierung
Identitätsdiebstahl
Finanzieller Verlust oder wirtschaftliche Nachteile
Gesellschaftliche Nachteile
Unbefugte Bewertung persönlicher Aspekte
Manipulation
Verlust der Vertraulichkeit
… und vieles andere mehr
Diskriminierung
Alle Menschen sollen vor dem Gesetz gleich sein und nicht willkürlich benachteiligt werden. So will es die EMRK, so wollen es auch die Verfassungen der Mitgliedstaaten.
Grundsatz der Gleichheit: Gleiches soll nach dem Gleichheitsgrundsatz gleich und Ungleiches ungleich behandelt werden. Bei der Gleichbehandlung von Ungleichem oder der Ungleichbehandlung von Gleichem liegt ein Verstoß gegen den Gleichheitssatz vor. Erklärt für Hundefreunde: Stellen Sie sich vor, Sie besitzen zwei Hunde, einen Rhodesian Ridgeback und einen Dackel. Beide haben das gleiche Bedürfnis an Aufmerksamkeit. Also behandeln Sie beide gleich und schenken beiden ihr gleiches Maß an Aufmerksamkeit. Beim Futter sieht es aber anders aus. Der eine benötigt